Оглавление
NGFW – это не просто набор модулей, а тщательно выстроенная экосистема, где каждый компонент должен быть лучшим в своем классе и постоянно совершенствоваться, чтобы опережать актуальные угрозы. Рассмотрим, как Kaspersky NGFW стремится к тому, чтобы все элементы системы работали как единое целое, задавая новый стандарт в сетевой безопасности.
Автор: Дмитрий Головко, менеджер по продуктам облачной и сетевой безопасности “Лаборатории Касперского”
Немного предыстории
Уже долгое время в «Лаборатории Касперского» активно изучали концепцию SASE (Secure Access Service Edge), она предлагает защищенную инфраструктуру, обеспечивающую безопасный доступ к внутренним ресурсам компании и внешним сервисам. Эта концепция возникла как ответ на вызовы, связанные с размыванием корпоративного периметра в эпоху удаленной работы.
SASE направлена на создание отказоустойчивых и защищенных сетей, а также на унификацию и защиту доступа к ресурсам компании. Она охватывает такие элементы, как SD-WAN, Firewallas-a-Service (FWaaS), Secure Web Gateway (SWG), ZTNA (Zero Trust Network Access) и CASB (Cloud Access Security Broker). Эти компоненты объединяются в единое решение, которое обеспечивает управление передачей трафика, его контролем и защитой.
В 2021 г. «Лаборатория Касперского» сделала значительный шаг вперед в этом направлении, приобретя компанию «Программируемые сети», занимавшуюся разработкой SD-WAN. Это позволило создать платформу для построения защищенных сетей, которая стала основой для будущего SASE-решения. Однако мы столкнулись с важной особенностью российского рынка. Концепция SASE по своей природе облачная и не всегда соответствует строгим требованиям регуляторов, особенно в части КИИ. Многие же компании отдают предпочтение решениям, которые можно разместить в своей инфраструктуре, в частности, программно-аппаратным комплексам.
Кроме того, заказчики неоднократно поднимали вопрос о создании «Лабораторией Касперского» собственного NGFW.
С учетом накопленного опыта в разработке сетевых решений и имеющихся технологий, включая SD-WAN, мы поняли, что у нас есть все необходимые ресурсы для реализации такого проекта.
В результате мы сконцентрировались на создании Kaspersky NGFW, отвечающего запросам российского рынка и основанного на экспертизе «Лаборатории Касперского». Это решение стало логичным продолжением нашей работы, объединяющим инновации в области сетевой безопасности с учетом специфики локальных требований и реалий.
Стабильность и безопасность
В общении с нашими заказчиками мы выявили одну из ключевых проблем – стабильность российских продуктов. Даже при создании отказоустойчивых кластеров некоторые решения оказываются ненадежными: кластеры могут рассыпаться независимо от нагрузки или внешних условий. Для заказчиков, привыкших к качественным зарубежным продуктам, такое поведение неприемлемо.
Стабильность – один из приоритетов Kaspersky NGFW. Мы понимаем, что разработка требует значительных ресурсов, и уже сейчас наша команда активно работает над созданием и тестированием решений, которые соответствуют самым строгим требованиям. Более того, мы планируем разработку собственного протокола для построения отказоустойчивых кластеров.
Второй, не менее важный аспект, – это безопасность. Сегодня многие компании соревнуются в гонке за производительностью, однако при этом часто упускается из виду аспект безопасности. Например, показатель обнаружения угроз (detection rate) остается мало обсуждаемым, хотя именно он критически важен для защиты инфраструктуры.
Мы осознаем, что NGFW – это базовый элемент сетевой защиты, но его возможностей недостаточно для выявления сложных атак, которые маскируются под легитимный трафик. Поэтому мы нацелены на создание комплексной системы, где NGFW интегрируется с такими решениями, как SIEM, XDR и NDR.
Требования ФСТЭК России
Мы начали изучать требования ФСТЭК России к многофункциональным межсетевым экранам уровня сети еще на этапе их появления и сейчас активно готовимся к сертификации в соответствии с ними: анализируем требования, обсуждаем их реализацию и тесно работаем с нашей лабораторией, которая курирует процесс сертификации. Это приоритетный для нас вопрос, и мы уже предпринимаем все необходимые шаги, чтобы соответствовать требованиям регулятора.
Потоковый антивирус
Потоковый антивирус «Лаборатории Касперского» уже сейчас демонстрирует высокую эффективность без значительного влияния на производительность системы. Его работа основана на проверке файлов по базе хэшей, которая включает как локальные данные, так и интеграцию с облаком Kaspersky Security Network. Это облако объединяет глобальные данные, создавая одну из самых обширных баз угроз в мире.
Стоит отметить, что подход, который мы используем в Kaspersky NGFW, отличается от антивирусных решений, интегрируемых в другие NGFW через модуль SafeStream II. В этих случаях используется другая база данных и технологии. Мы решили оптимизировать антивирусный движок под архитектуру Kaspersky NGFW, он разработан на основе экспертизы подразделения Anti-Malware Research, что позволяет нам включать в него только те хэши, которые наиболее релевантны и эффективны для защиты.
К следующему релизу мы планируем интегрировать объектный антивирус, аналогичный тому, что используется в наших Endpoint-решениях. Он будет доработан для достижения гибкого баланса между detection rate и производительностью системы.
Контроль приложений и протоколов
Важный аспект для любого NGFW – анализ широкого спектра приложений и протоколов. Некоторые приложения могут содержать критические уязвимости, которые злоумышленники используют для атак. Например, если есть риск доступа к такому приложению извне, лучше полностью ограничить соответствующий трафик. Аналогично существуют прикладные протоколы, расшифровка которых на текущий момент вызывает сложности. Блокировка подобных протоколов помогает предотвратить угрозы, обеспечивая доступ к веб-ресурсам только через безопасные стандарты, такие как HTTP 2.0.
Важно учитывать множество сценариев, связанных с приложениями и протоколами, и обеспечивать их поддержку на максимально широком уровне. В «Лаборатории Касперского» развитием базы приложений занимается отдельная команда. Сейчас мы активно собираем обратную связь от заказчиков, тестирующих Kaspersky NGFW, чтобы понять, какие приложения следует добавить в ближайших обновлениях.
Особое внимание уделяется базе и движку DPI, которые полностью разработаны «Лабораторией Касперского». Собственные технологии дают нам преимущество: мы можем гибко и оперативно реагировать на запросы заказчиков, и если возникает необходимость добавить новый протокол, мы способны сделать это уже в следующем релизе. Такой подход позволяет нам избегать зависимости от партнеров и их планов, так как все разработки находятся под нашим контролем.
Независимость и оперативность – наше преимущество, которое, без сомнения, привлекает внимание рынка и делает решения «Лаборатории Касперского» особенно востребованными.
Песочница
В составе Kaspersky Anti-Targeted Attack (KATA) предусмотрена мощная песочница, и уже в следующем релизе Kaspersky NGFW мы планируем реализовать интеграцию с ней. Взаимодействие будет осуществляться через API, а не с помощью протокола ICAP, как делает большинство производителей. Хотя ICAP считается надежным и проверенным решением, у него есть недостатки, в частности, длительное время передачи файлов на анализ. В условиях высокой динамики современных угроз такая задержка может стать критичной.
Категоризация URL
Качество веб-категоризации – ключевой аспект, который не всегда удается обеспечить на должном уровне, особенно если производители используют упрощенные подходы. Например, некоторые решения ограничиваются анализом домена, а не конкретного URL. Такой метод действительно повышает производительность, так как нет необходимости проводить SSL-инспекцию, однако это негативно влияет на точность.
Наш подход к веб-категоризации другой. Мы анализируем именно URL, используя механизм SSL-инспекции для расшифровки трафика, чтобы точно определить, к какой категории относится конкретный ресурс, даже если он расположен в рамках большого домена.
Модуль веб-категоризации и вебфильтрации является адаптированной версией решения, уже проверенного на практике в наших Endpoint-продуктах. Мы оптимизировали его для работы с потоками трафика, проходящими через NGFW, сохранив при этом те же базы данных. Наш веб-категоризатор неоднократно признавался одним из лучших в мире по качеству классификации и детекции, и это подтверждается доверием пользователей – замечания по его работе практически отсутствуют.
Сейчас модуль предлагает предустановленный набор категорий, к которым можно применять различные действия: блокировать доступ, предупреждать пользователя о нежелательности ресурса или разрешать посещение. Все события фиксируются и отображаются в консоли управления, предоставляя администратору полный контроль и прозрачность.
Дополнительно предусмотрена возможность создания пользовательских вебкатегорий, что полезно в случаях, когда стандартная категоризация не полностью соответствует потребностям компании.
Веб-категоризатор интегрирован с облаком Kaspersky Security Network для доступа к постоянно обновляющейся базе данных.
Расшифровка трафика
Расшифровка трафика, которую мы реализовали в Kaspersky NGFW, ставит нас в ряд ведущих российских вендоров NGFW. Расшифрованный трафик направляется на все механизмы безопасности в составе решения.
Для заказчиков это особенно важно, поскольку невозможность проверки расшифрованного трафика, например, антивирусом или IDPS создает серьезные риски. Мы поддерживаем все актуальные версии протокола TLS, включая 1.3, что позволяет нам работать с самыми современными стандартами шифрования.
Оптимизация IDPS
В первоначальном релизе Kaspersky NGFW поддерживалось около 6 тыс. сигнатур в базе IDPS. Этот объем мы считали достаточным для бета-тестирования и пилотных внедрений. Однако благодаря результатам пилотов и обратной связи, база была расширена до 27 тыс. сигнатур, что значительно повысило качество детекции. Эту базу поддерживает и постоянно обновляет наше подразделение Anti-Malware Research.
Разумеется, увеличение количества сигнатур может влиять на производительность системы. Именно здесь нам помогает то, что движок IDPS в Kaspersky NGFW – это собственная разработка. Мы имеем полный доступ к его коду и можем оперативно вносить изменения, оптимизируя его работу.
Процесс выглядит следующим образом: после увеличения базы сигнатур мы анализируем влияние на производительность и, если это необходимо, оптимизируем код движка. В зависимости от степени критичности, обновления с улучшенной производительностью выпускаются либо в следующем релизе, либо оперативно в рамках патча. Таким образом, каждая новая версия IDPS становится не только более функциональной, но и максимально эффективной, сохраняя баланс между качеством защиты и скоростью работы.
DNS Security
DNS Security – это механизм, обеспечивающий проверку DNS-трафика, проходящего через Kaspersky NGFW, по репутационной базе. Если домен, к которому осуществляется запрос, числится вредоносным или связан с командноконтрольными серверами (C&C), система принимает меры: это может быть блокировка запроса, уведомление через SIEMсистему о попытке обращения, либо перенаправление запроса на специально настроенный DNS-сервер для синк-хола.
Хотя механизм DNS Security напоминает URL-категоризацию, он реализует совершенно другой подход. DNS Security работает исключительно с доменами, в то время как URL-категоризация анализирует полный путь и предоставляет более глубокий уровень детализации. Некоторые производители, особенно западные, объединяют такие компоненты, мы же решили разделить эти функции, выделив DNS Security в отдельный модуль.
В заключение
На данный момент Kaspersky NGFW проходит бета-тестирование в формате ПАК с участием небольшой фокус-группы. Мы собираем обратную связь, выявляем возможные доработки, уточняем дорожную карту развития продукта и, конечно же, проверяем работу Kaspersky NGFW в реальных условиях на боевом трафике. Полноценный коммерческий релиз Kaspersky NGFW в формате ПАК намечен на III квартал 2025 г.
А на начало 2025 г. запланирован выпуск виртуальных аплайансов, совместимых с зарубежными гипервизорами. К 2026 г. мы планируем реализовать поддержку отечественных гипервизоров, что важно в эпоху активного перехода заказчиков на отечественные ИТ-решения.
Подробее о Kaspersky NGFW: https://www.kaspersky.ru/enterprise-security/ngfw
Реклама ООО «Лаборатория Касперского». ИНН 7713140469 . Erid 2SDnjdsibPz
ITSec_articles